Ultimas Noticias
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 3.4.3 – Falta de Autorización para Borrar Publicaciones Arbitrarias
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de una comprobación de capacidad en la función calendar_events_delete() en todas las versiones hasta, e incluyendo, la 3.4.3. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 3.4.1 – Falta de Autorización para Envío de Correos Electrónicos Arbitrarios a Usuarios Autenticados (Suscriptores+)
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a enviar correos electrónicos no autorizados debido a la falta de una verificación de capacidad en la función ep_send_attendees_email() en todas las versiones hasta, e incluyendo, la 3.4.1. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, enviar…
-
EventPrime – Calendario de Eventos, Reservas y Entradas <= 3.4.2 – Falta de Autorización para Sobrescribir Publicaciones Arbitrarias
El plugin EventPrime – Calendario de Eventos, Reservas y Entradas para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una verificación de capacidades en la función save_frontend_event_submission() en todas las versiones hasta, e incluyendo, la 3.4.2. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior,…
-
Blocksy <= 2.0.26 – Cross-Site Scripting Almacenado (Autenticado – Contribuidor+)
La vulnerabilidad CVE-2024-1767 en el tema de WordPress Blocksy permite a atacantes autenticados con permisos de contribuidor o superiores inyectar scripts maliciosos en páginas web. El tema Blocksy para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los bloques del plugin en todas las versiones hasta, e incluyendo, la 2.0.26 debido a una…
-
HT Easy GA4 – Plugin de Google Analytics para WordPress <= 1.1.5 – Falta de Autorización para Actualizar Correo Electrónico GA4 no Autenticado
El plugin HT Easy GA4 – Google Analytics WordPress Plugin para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidad en la función login() en todas las versiones hasta, e incluyendo, la 1.1.5. Esto permite a atacantes no autenticados actualizar el correo electrónico asociado a través…
-
Ultimate Member <= 2.8.3 – Cross-Site Scripting sin autenticar almacenado
El plugin Ultimate Member – Perfil de usuario, registro, inicio de sesión, directorio de miembros, restricción de contenido y membresía para WordPress es vulnerable a Cross-Site Scripting almacenado a través de varios parámetros en todas las versiones hasta, e incluyendo, la 2.8.3 debido a una sanitización insuficiente de la entrada y a la escape de…
-
Vulnerabilidad de Cross-Site Scripting en Premium Addons PRO <= 2.9.12 a través del módulo Premium Magic Scroll
El plugin Premium Addons PRO para WordPress es vulnerable a Cross-Site Scripting almacenado a través del módulo Premium Magic Scroll en todas las versiones hasta, e incluyendo, la 2.9.12 debido a una sanitización insuficiente de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel contribuidor o superior, inyectar…